计及人因可靠性的变电站自动化系统失效风险评估

黄宇，蒋猛，张简炼，廖伟涵，郭创新

计及人因可靠性的变电站自动化系统失效风险评估

黄宇1，蒋猛1，张简炼2，廖伟涵2，郭创新2

（1．贵阳供电局，贵州省 贵阳市 550002；2．浙江大学电气工程学院，浙江省 杭州市 310027）

目前对于变电站自动化系统的可靠性研究鲜有涉及人为因素的定量影响，而许多电网事故是由人为失误引起的，因此提出了一种计及人因可靠性的变电站自动化系统失效风险评估方法。首先根据工作人员所处场景采用层次分析法-成功似然指数法评估人为失效概率以此修正设备故障概率，其次基于IEC-61850的功能分解对自动化系统各种功能的失效风险进行评估，最终融合为系统失效风险，以此描述当前系统可靠性，为调度部门决策提供指导。算例结果表明，人为因素对于系统失效风险有着较大的影响，计及人因可靠性可更为客观地描述系统风险，为调度操作人员提供风险预警。

变电站自动化系统；智能变电站；人因可靠性

0 引言

智能变电站是智能电网的重要组成部分，因此，保证智能变电站自动化系统(integrated substation automation system，ISAS)的安全对于整个智能电网的安全、可靠、经济运行有着极为重大的意义[1-5]。许多学者都针对ISAS的可靠性进行了研究。文献[6]主要从硬件与软件2方面的可靠性评估出发对SAS的可靠性进行了描述，并提及还应当考虑人为操作的影响。文献[7]采用故障树分析方法，从硬件可用性的角度来评估ISAS的可靠性。文献[8]对国内数十座智能变电站的ISAS进行详细调研，构建“二网一流”评估平台、指标、模型，结合专家评判等方法对ISAS的有效度作出评价。

但是上述研究都未就人为因素对ISAS可靠性的影响进行定量分析。电网的安全可靠运行是电力行业甚至社会各界所关心的问题，而大量停电事故记录表明，人为因素是影响电力系统可靠性的重要方面[9-10]。国内外学者针对人为因素对电力系统运行的影响模式进行了分析，并做出了相应的研究。文献[11]针对班组行为建立仿真系统，模拟了班组决策的过程。文献[12]指出操作人员的行为受到多方面的影响，包括组织、管理、规章、工作压力等。文献[13]对国内外城市的电网供电可靠性水平、组网模式以及变电站配置进行了详细对比和分析，并总结了相关经验。

本文提出了基于层次分析法-成功似然指数法(analytic hierarchy process-success likelihood index method，AHP-SLIM)的人因可靠性评估模型，基于行为影响体系分析计算变电站中的人为失误概率。并提出基于功能分解的ISAS失效风险评估方法，考虑人为因素计算逻辑节点、逻辑连接等的失效概率，结合功能失效严重度计算功能失效风险，最终融合所有功能失效风险以评估ISAS的失效风险，研究结果可为调度部门的决策分析提供依据与指导。

1 人为失误概率评估

1.1 行为影响体系

随着人因可靠性分析方法的不断发展，许多研究者建立了各自的行为影响体系，尽管这些体系各有差异，但基本遵循以下3个原则：

1）体系所面向的分析目标应明确。

2）行为影响因素间互相独立，避免冗余。

3）行为影响因素应对人员行为有确实的影响，而非随意捏造。

针对电力系统工作人员的操作环境，结合常规人因可靠性分析理论[14]，建立了相应的行为影响体系。该体系共分为5类一级影响因素，包括：个人因素、组织因素、团队因素、环境因素以及信息因素。每种一级影响因素下又包含多种二级因素，详细情况如表1所示。

表1 行为影响体系

每种影响因素代表了电力系统工作人员在工作时可能受到影响的方面，该体系不仅适用于人为失误根源的定性分析，还可作为各因素对人员行为影响的定量分析的基础。为了定量分析每种因素的影响程度，一般采用面向专家的问卷调查方法。每类二级因素均按等级划分为1~10，数字越小说明情况越恶劣。而当评级为10时，说明该因素在防止人为失误上有着最佳的作用，在个人因素下的二级因素中，知识与经验的影响程度最高，心理与生理的影响程度相对较低。

1.2 AHP-SLIM评估方法

SLIM是一种简单灵活的概率可靠性分析方法，且融合专家经验后，可用于评估人为失误概率。与其他人因可靠性评估方法相比，该方法更为灵活，且可在一定程度上降低主观判断带来的误差。SLIM认为在特定环境下，人为失误主要取决于几种二级因素，这些因素又被称为决定性因素。SLIM模型给出了利用给定决定性因素来判断人为失误概率的方法，包括以下2个步骤[15]：

1）综合每个决定性因素的权重与价值，利用式(1)计算成功似然指数LI。

式中：为第项决定性因素的重要度权重；v为第项决定性因素的价值；和均为常数。显然，所有决定性因素的重要程度并不相同，因此本文采用层次分析法对这些因素的权重与价值进行取值，以降低主观判断带来的误差。

层次分析法通常被用来解决集合了定性与定量分析的复杂问题，具体的步骤如下。

1）征询本领域专家意见，依据表2对不同的决定性因素进行一一比较，构建判别矩阵如下：

表2 AHP判别矩阵取值说明

2）对矩阵中的各列进行归一化处理，得到1矩阵。

3）1矩阵各行求和，得到列向量。

4）对列向量进行归一化处理，即得权重系数向量1。

5）一致性检验，若不能通过检验，则需对判别矩阵进行修正，直至满足要求。

综上所述，AHP-SLIM方法详细步骤如下，流程如图1所示。

图1 AHP-SLIM评估方法流程图

1）获取分析场景，依据场景，选定决定性因素集合。

2）采用层次分析法获得权重系数向量1，并依据专家意见获得决定性因素对应价值。

3）根据式(1)和(2)计算得到系统人为失误概率HE。

2 ISAS失效风险评估方法

ISAS的故障失效不仅仅受到单个硬件设备的影响，而应计及多方面因素，包括硬件设备、软件系统、通信要素以及人为因素等。

2.1 功能分解方法

基于IEC-61850[16]，将ISAS中各类功能(function，F)分解为逻辑节点(logical node，LN)与逻辑连接(logical connection，LC)，而通信信息片(piece of information for communication，PICOM)经由逻辑连接在逻辑节点间传递。

对于功能、逻辑节点及逻辑连接的定义为

1）功能F：ISAS所需完成的任务。ISAS可被划分为若干项基础功能(如量测功能、过电流保护功能等)。

2）逻辑节点LN：某功能中，进行数据交换的最小组成部分，是对硬件、软件或人因的抽象。

3）逻辑连接LC：不同逻辑节点间的通信链接，且具有方向性。

以距离保护功能为例，对其进行功能分解如图2所示。

图2 距离保护功能分解示意

2.2 功能失效概率

对于某操作人员控制的自动化设备D，考虑人为因素后，对其故障率进行修正：

为使分析过程简便，本文作以下假设：

1）某物理设备中的所有逻辑节点与逻辑连接具有相同的失效概率，与该设备失效概率相一致；

2）功能、逻辑节点及逻辑连接仅存在工作状态与失效状态2种状态；

3）当某逻辑节点或逻辑连接处于失效状态时，其所属功能也处于失效状态；

4）不同功能间的失效事件相互独立；

5）忽略所有通信时间延迟。

因此，基于以上假设，可得如下结论：

3）对于连接不同设备(1，2)中2个逻辑节点(LN1，LN2)的逻辑连接LC，其失效概率为

依据功能分解原理，可将功能视作一系列逻辑节点与逻辑连接的集合，因此功能F的失效概率为：

式中：LN和LC分别表示本功能中所包含的逻辑节点数与逻辑连接数；和则分别表示第个逻辑节点与第个逻辑连接的失效概率。

2.3 功能失效严重度

ISAS的各类功能的有效实现，依赖于逻辑连接中通信信息片传递的准确性，因此信息安全要素(包括保密性、完整性和可用性)可用于描述ISAS功能失效的严重程度。因此，通信信息片的价值决定了逻辑连接价值，而逻辑连接价值则决定了功能失效严重度。

信息安全要素被划分为9个等级(数字越大，等级越高)。根据文献[17-18]，逻辑连接价值和功能失效严重度应当能区别反映主要影响因素与次要影响因素，因此本文逻辑连接价值与功能失效严重度的定义为

表3 通信信息片安全要素评级

2.4 ISAS失效风险

依据风险评估的基本概念，功能失效风险应综合反映功能失效的概率与严重度，其定义该风险为

由于不同功能对系统的影响并不一致，因此引入风险转移权重来代表功能对于ISAS的重要程度，该权重系数可利用层次分析法计算得到。最后，结合该风险转移权重与功能失效风险即可得到ISAS失效风险：

3 算例分析

本文以T1-1型变电站为例，对其进行ISAS失效风险评估。T1-1型变电站可以划分为4个间隔，分别为D1Q1，E1Q2，E1Q1及E1Q3，其电气接线及逻辑节点如图3所示，主要功能如表4所示。

图3 T1-1型变电站电气接线与逻辑节点示意

表4 T1-1型变电站ISAS功能

首先，确定人为失误的决定性因素(价值)为：知识经验KE(4)、团队合作TC(3)、工作环境WC (3)、任务数量TL(8)、时间紧迫度TU(7)及情景认知SP(4)，并征询意见，构建判别矩阵，见表5。

利用层次分析法计算得到决定性因素的权重系数向量为

表5 判别矩阵A

表6 设备故障率修正

注：MTTF为平均无故障时间；MTTR为平均修复时间。

对各个功能的失效概率、失效严重度以及失效风险进行评估，风险转移权重参考文献[18]，得到结果如表7所示。依据式(9)可得，本场景下ISAS失效风险为2.4719。若不考虑人为失效概率，则ISAS失效风险为0.7154。可见，人为因素对于ISAS风险影响是可观的。

表7 功能失效风险统计

令人因环境由恶劣向良好过渡(LI由1增至10)，分别计算系统风险的变化情况，如图4所示。由图4可知，随着人因可靠性逐渐转好(LI逐渐变大)，系统风险也不断降低。当人因可靠性达到最佳(LI=10)时，系统风险为0.9375，仍高于未考虑人为因素时的系统风险。说明即使工作人员的各方面条件与所处环境都非常理想时，仍有操作失误的可能。

因此，本文所提出的计及人因可靠性的ISAS失效风险评估方法能有效表征人为因素对于变电站自动化系统可靠性的定量影响，作为预警标志向工作人员发出警示，为调度决策人员提供风险信息支持。

图4 ISAS风险受人为因素影响情况

4 结论

提出了一种计及人因可靠性的变电站自动化系统失效风险评估方法，对传统的ISAS失效风险评估方法做出了改进。得到以下结论：

1）采用AHP-SLIM方法可根据不同人因场景获取相应的人为失误概率，且可自由选择人因决定性因素满足不同的分析需求。

2）基于功能分解的ISAS失效风险评估方法能将风险细化至每个功能及其所含逻辑节点与逻辑连接，使各项风险有据可循。

3）未计及人为可靠性的传统风险评估方法无法定量表征人为失误对系统风险的影响，所提出的方法很好地弥补了这一不足。

[1] 郭创新，俞斌，郭嘉，等．基于IEC61850的变电站自动化系统安全风险评估[J]．中国电机工程学报，2014，34(4)：685-694．

[2] 徐志超，李晓明，杨玲君，等．数字化变电站系统可靠性评估与分析[J]．电力系统自动化，2012，36(5)：67-71．

[3] 刘世丹，袁亮荣，曾耿晖，等．一种基于IEC 61850统一建模的多智能变电站数据共享方案[J]．广东电力，2017，30(8)：109-112．

[4] 陈锦山，唐志军，何燕玲，等．智能变电站二次系统信息安全测试方法[J]．广东电力，2017，30(9)：75-80．

[5] 李生权，钱文姝．智能变电站技术的现状与发展趋势研究[J]．电网与清洁能源，2017，33(12)：59-64．

[6] 徐立子．变电站自动化系统的可靠性分析[J]．电网技术，2002，26(8)：68-72．

[7] 杜双育，王先培，谢光彬，等．基于IEC61850的变电站自动化系统可靠性评估[J]．电力系统保护与控制，2012，40(5)：32-36．

[8] 邱剑，王慧芳，陈志光，等．智能变电站自动化系统有效度评估模型[J]．电力系统自动化，2013，37(17)：87-94．

[9] 唐志军，翟博龙，晁武杰，等．智能变电站二次系统可靠性评估与分析研究[J]．电网与清洁能源，2017，33(9)：84-88+98．

[10] 暴英凯．人为因素对电力系统运行可靠性影响分析[D]．杭州：浙江大学，2016．

[11] Sasou K K，Yoshimura T S．Modeling and simulation of operator team behavior in nuclear power plants[J]．Advances in Human Factors/Ergonomics，1995，20：415-420．

[12] Zio E．Reliability engineering：old problems and new challenges[J]．Reliability Engineering & System Safety，2009，94(2)：125-141．

[13] 陈皓勇，王增煜，丘子岳．考虑分布式电源随机性的配电网综合资源规划[J]．分布式能源，2018，3(6)：54-59．

[14] Groth K M，Mosleh A．A data-informed PIF hierarchy for model-based human reliability analysis [J]．Reliability Engineering and System Safety，2012，108：154-174．

[15] Vestrucci P．The logistic model for assessing human error probabilities using the SLIM method

[J]．Reliability Engineering and System Safety，1988，21：189-196．

[16] IEC．Communication networks and systems in substations-part5：communication requirements for functions and device models：IEC 61850-5-2013[S]．G-eneva Switzerland：IEC，2003．

[17] 国家质量监督检验检疫总局，国家标准化管理委员会．信息安全技术–信息安全风险评估规范：GB/T 20984—2007 [S]．北京：中国标准出版社，2007．

[18] Liu N，Zhang J H，Wu X．Asset analysis of risk assessment for IEC 61850-based power control systems：part I：methodology[J]．IEEE Transactions on Power Delivery，2011，26(2)：869-875．

[19] 韩宇奇，郭嘉，郭创新．考虑软件失效的信息物理融合电力系统智能变电站安全风险评估[J]．中国电机工程学报，2016，36(6)：1500-1508．

Risk Assessment of Substation Automation System Failure Considering Human Reliability

HUANG Yu1, JIANG Meng1, ZHANG Jianlian2, LIAO Weihan2, GUO Chuangxin2

(1. Guiyang Electric Power Supply Bureau, Guiyang 550002, Guizhou Province, China;2. College of Electrical Engineering, Zhejiang University, Hangzhou 310027, Zhejiang Province, China)

Currently, there are few research on the influence of human reliability upon the reliability of integrated substation automation system (ISAS). This paper proposed a risk assessment method of ISAS considering human reliability. First, according to the operators work condition, estimate the human error probability based on analytic hierarchy process-smart substation automation system to correct the failure probability of physical devices. Then, adopt the function decomposition based method to assess the failure risk of functions. Finally, obtain the failure risk of ISAS by mixing the function risks to characterize the reliability of ISAS and offer guidance to dispatching department. The big impact of human reliability on the ISAS risk is demonstrated in case study, which means considering human reliability is more objective than the traditional method.

substation automation system; smart substation; human reliability

10.12096/j.2096-4528.pgt.19051

国家自然科学基金项目(51537010)。

Project Supported by National Natural Science foundation of China (51537010)

2019-04-14。

黄宇(1987)，男，硕士，工程师，研究方向为电力系统调度，智能变电站等，303767806@qq.com。

黄宇

(责任编辑 辛培裕)